Buongiorno,
non so' se questo è il forum + appripriato per postare questa problematica...


Qualcuno di voi è a conoscenza della vulnerabilità dei sistemi miscrosoft server (2003 compreso) sulla porta 135 (RPC) ?

come cacchio ci si difende?
apparte il firewall e soprattutto come si fa a sapere da dove proviene l'attacco?

disabilita il servizio!!! :p

Originariamente inviato da dr.stein
disabilita il servizio!!! :p


ma tu sai qual'è questo bug?

e poi se disattivo il servizio non mi funzioneranno più le schede di rete

falso!

non ti funziona piu' RPC al limite....

cmq qui c'e' spiegato tutto, e c'e' anche il link alla patch

http://www.microsoft.com/italy/technet/solutions/security/ms03_026.asp

Originariamente inviato da dr.stein
falso!

non ti funziona piu' RPC al limite....

cmq qui c'e' spiegato tutto, e c'e' anche il link alla patch

http://www.microsoft.com/italy/technet/solutions/security/ms03_026.asp

grazie, ora il mio problema è questo:

sono già stato attaccato, secondo te la patch, puo' bloccare eventuali intrusi che già hanno fatto i loro comodi?
ovviamente ho già alzato le protezioni contro back door e trojan

come fai a dire di essere gia' stato attaccato ?^

cosa te lo fa pensare ?

Originariamente inviato da dr.stein
come fai a dire di essere gia' stato attaccato ?^

cosa te lo fa pensare ?


ho letto i file di registro degli eventi e ho visto le operazione effettuate e mi risulta che domenica sera sono stati attivati dei permessi di esecuzione script nelle root principali dei domini da me gestiti, oltre a riscontrare seri problemi sulla rete interna e sul file svchost.exe

Bada!

Allora, chiariamo bene la situazione...

qual'e' la macchina attaccata ?

DC ?

per problemi sulla rete PRECISAMENTE cosa intendi ?
attiva i log e i trace sull'interfaccia di rete, magari coadiuvati da un bello sniffer!

probabilmente l'attacco e' arrivato dall'interno, potresti vedere i log di connessione se erano attivi!

Perche' una macchina cosi' importante non era protetta, almeno da un FW ? meglio se in DMZ!

Originariamente inviato da dr.stein
Bada!

Allora, chiariamo bene la situazione...

qual'e' la macchina attaccata ?

DC ?

per problemi sulla rete PRECISAMENTE cosa intendi ?
attiva i log e i trace sull'interfaccia di rete, magari coadiuvati da un bello sniffer!

probabilmente l'attacco e' arrivato dall'interno, potresti vedere i log di connessione se erano attivi!

Perche' una macchina cosi' importante non era protetta, almeno da un FW ? meglio se in DMZ!


dunque:
la macchina si trova nella web farm di Fastweb, il che esclude attacchi interni,
il firewall era abilitato, ma poichè il router lì molto propabilmente è un Cisco ho dovuto tenere la 135 aperta, se ci istallo su uno sniffer va a finire che poi la devo buttare i carichi sono alti intorno alla 15000-20000 connessioni al giorno, altri tipi di protezione ci sono:
- database di backup su un'altra macchina che si attiva istantaneamente bloccando tutte le operazioni sulla macchina principale, anche in locale come admin.
- i log cmq erano attivi
- la macchina è un compaq proliant 580 con 4 sk di rete e 4 ip pubblici